两个互联网僵尸网络新变种背后的威胁角色相同

Mirai和Gafgyt是两个最着名的物联网僵尸网络，它们再次分叉，新的变种在企业部门偷看，用于创建或补充他们的分布式攻击的拒绝服务资源。

几年前，两种恶意软件的代码都进入了公共空间，有抱负的网络犯罪分子开始催生他们自己的版本。

大多数时候，这些突变并没有什么有趣之处，但最新的替代品显示出对商业设备的偏爱。

Palo Alto Networks第42单元的一份报告显示，新的Mirai和Gafgyt增加了他们利用一些旧漏洞的漏洞利用代码库。

Mirai现在的目标是运行未修补的Apache Struts的系统，这个版本在 去年的Equifax漏洞中遭到攻击。CVE-2017-5638已经修复 了一年多，但除非它被彻底根除，否则网络犯罪分子将有尽可能多的理由将它添加到他们的技巧库中，因为有些设备可以使用它。

Mirai包中的漏洞利用数量现已达到16个。其中大部分都是为了破坏路由器，NVR，摄像机和DVR等连接设备。

Gafgyt，也称为Baslite，通过在SonicWall的全球管理系统（GMS）的不受支持的版本中针对新发现的漏洞（CVE-2018-9866，具有完美的严重性评分）来查看业务设备。

在针对此漏洞发布Metasploit模块后不到一周，第42单元在8月5日发现了新样本。

感染Gafgyt的设备可以扫描其他成熟的设备，以便妥协并提供适当的利用。恶意软件中存在的另一个命令是发起Blacknurse攻击 - 一种影响CPU负载的低带宽ICMP攻击，强制拒绝服务。

两个新变种背后的威胁角色相同

如果新Mirai和Gafgy所针对的系统类型只暗示同一个角色在他们后面，安全研究人员发现了证据：两个样本都托管在同一个域中。

8月，该域名解析为不同的IP地址，间歇性地托管了Gafgyt利用SonicWall错误的样本。

Palo Alto表示，“通过这些物联网/ Linux僵尸网络将针对Apache Struts和SonicWall的攻击纳入其中可能表明消费者设备目标向企业目标的转变更大。”